SD-WAN EVPN简介起源企业通常采用Hub-Spoke的组网方式将总部和多个分支网络进行相连,便于加强企业的通信安全。企业的总部地址一般采用静态的公网地址,而分支一般采用动态的公网地址接入Internet。若使用传统的IPSec或GRE over IPSec等技术构建VPN网络,因分支之间无法相互获取公网地址,故分支间无法直接通信,数据需通过总部(Hub节点)中转。通过总部中转会带来一些其他的问题:
- 总部会产生较大的性能压力,消耗总部的CPU及内存资源;
- 分支之间的数据在总部中转会引入额外的数据流封装和解封装,引入额外的网络延迟;
- 随着IPSec网络规模的扩大,需要部署动态路由协议。由于动态路由协议依赖于组播和广播报文进行路由更新,而IPSec不支持广播和组播报文传输。
基于以上问题,可通过DSVPN (Dynamic Smart Virtual Private Network),即动态智能VPN方案来解决。通过下一跳解析协议NHRP(Next Hop Resolution Protocol)和mGRE(multipoint Generic Routing Encapsulation)相结合的方式解决了上述问题。但随着企业分支站点的数量逐渐增加,DSVPN方案的诸多限制将导致站点规模的扩展变的越来越困难。
首先,在性能规格上多链路和多VPN扩展性存在限制,两个站点间的隧道数量=链路数*VPN数量,多部门场景下小容量设备无法支撑Full-Mesh的组网,单站点的能力受限;此外,每个隧道上需要运行相应的IKE协商、BGP协议、IP FPM、mGRE等协议,系统开销大,无法扩展规模,从而导致整网的业务性能受限。
其次,拓扑组网的灵活性受限。因DSVPN方案必须要有一个集中控制的HUB站点,组网拓扑只能在限定范围内定义,仅支持HUB-Spoke和Full-Mesh模式,不支持混合组网模式,且NAT穿越能力弱,仅支持1:1NAT方式接入。
为了解决DSVPN中的性能和组网模式上的限制,提出了新的SD-WAN EVPN的方案。SD-WAN EVPN是一种用于Overlay业务网络与和底层的传输网络分离的VPN技术。通过扩展BGP协议,使不同的站点底层传输网络互通,从而实现业务网络的数据流量转发。
在SD-WAN EVPN的方案中,针对DSVPN的限制进行隧道优化。具体优化点如下:
- 针对性能规格限制。引入BGP协议,实现业务网络和底层传输网络的分离,隧道的建立不再依赖VPN,两个站点间的隧道数量=链路数,解除多VPN的限制,同时无需运行NHRP协议;不再基于链路建立BGP Peer,普通站点只需要和RR建立BGP Peer即可;秘钥使用统一分发,不需要再运行IKE协商。
- 针对拓扑模式限制。控制节点和数据节点解耦,通过路由策略实现网络拓扑的控制,可根据场景使用多种模式,如hub-spoke、Full-Mesh或混合模式,以适应更多的复杂场景。
定义SD-WAN EVPN是一种用于Overlay业务网络和Underlay传输网络分离的VPN技术。
对于原有EVPN技术的Underlay网络控制面,通过在标准BGP协议中定义新的网络层可达信息NLRL(EVPN NLRL),实现了二层网络不同站点之间的MAC地址学习和发布,以及三层网络不同站点之间的IP地址学习和发布。从而实现各站点基于MPLS或VXLAN封装的Overlay网络(当前设备只支持VXLAN EVPN)进行互连。
SD-WAN EVPN是对原有EVPN技术的扩展,即控制面在BGP协议基础上扩展了新的网络层可达信息NLRL,用于传递TNP路由和EVPN路由,实现不同站点的Underlay传输网络互通,同时应用于GRE的Overlay业务网络,实现业务网络的数据流量转发,最终实现不同站点网络间的隧道封装信息从数据平面转移到控制平面。
SD-WAN EVPN的基本应用场景如图1-1所示。
图1-1 SD-WAN EVPN应用场景
目的在运营商接入服务场景中,需要实现CPE间数据传输,当组网规模庞大时,配置十分复杂。应用SD-WAN EVPN技术,可以实现业务网络和传输网络的分离,且能保障数据快速安全传输。SD-WAN EVPN技术可以实现站点间的隧道全链接,为业务网络的数据传输提供保障,减少配置的工作量,且降低了网络中链路的数量,提升了网络的性能。而且通过隧道传输,可以实现业务流量的快速安全传输,为运营服务提供了良好的保障。
SD-WAN EVPN通过扩展BGP协议,携带扩展团体属性,这样可以通过路由策略控制网络的拓扑。同时使网络具有即插即用功能,具有很好的扩展性。
SD-WAN EVPN基本原理定义SD-WAN EVPN是一种用于Overlay业务网络和底层传输网络分离以及业务网络路由和传输网络路由分离的VPN技术。SD-WAN EVPN技术采用类似于BGP/MPLS IP VPN的机制,通过扩展BGP协议,使用扩展后的可达性信息,使不同站点的底层传输网络互通,通过BGP的多VPN能力,统一控制协议,使路由统一发布,最终实现不同站点网络间的隧道封装信息从数据平面转移到控制平面。
SD-WAN EVPN的基本应用场景如图1-2所示。
图1-2 SD-WAN EVPN应用场景
SD-WAN EVPN路由该类型路由的报文格式如图1-3所示:
图1-3 SD-WAN EVPN路由的报文格式
各字段的解释如下表所示:
NLRI Length
该字段为地址前缀长度。
Tunnel Type
该字段为本路由携带的隧道类型。
Distinguisher
该字段为隧道上的业务标识。
Color
该字段标识站点,为隧道的迭代索引标识。
Endpoint
该字段为标识隧道的目的节点,占用4字节或16字节:若AFI是IPv4,表示该字段是IPv4地址;若AFI是IPv6,表示该字段是IPv6地址。
Tunnel Encapsulation Attribute属性新增Optional transitive属性:Tunnel Encapsulation Attribute,用于携带隧道封装的信息。
SD-WAN EVPN基本概念- RR(Route Reflector):路由反射器,用于反射CPE之间的底层传输的网络信息和路由信息。
- TN(Transport Network):运营商提供的广域接入网络,实现企业的广域分支互联,主要包括运营商专线网络和Internet公用网络等,TN是构建SD-WAN Overlay网络的基础依赖。
- RD(Routing Domain):路由域,不同的TN网络如果彼此之间路由可达,则认为在其同一个RD内。
- Site ID:站点ID,是企业站点在SD-WAN中的全局唯一标识,通常用一串数字表示,由网络控制器统一自动分配。
- CPE ID:站点CPE设备的Router ID,是站点CPE在SD-WAN中的全局唯一标识。一个站点通常包含一个CPE或者两个CPE ,CPE ID通常用CPE的Loopback的IP地址表示,由网络控制器统一自动分配。
- SA(Security Association):安全联盟是通信对等体间对某些要素的协定,它描述了对等体间如何利用安全服务(例如加密)进行安全的通信。这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等。
- SD-WAN Tunnel:即SD-WAN Overlay隧道。不同的站点要实现互通,需要在两者之间建立一条Tunnel,Tunnel的两端是两个互联站点CPE的两个广域接口,该广域接口归属的TN在同一个RD内,即两端的广域接口可以在Underlay网络层面互通。两个站点间可以通过多个不同运营商的TN进行互联,因此双方可以建立多个不同的Tunnel。
- DTLS:在SD-WAN场景中,CPE与RR建立DTLS连接完成控制通道建立,实现CPE和RR之间的TNP信息互通。通过发送和反射TNP信息计算CPE和RR之间的联接,完成管理通道的建立,即RR和站点间通过system ip建立BGP peer。
- TNP(Transport Network Port):CPE接入Transport Network的WAN接口,关键信息包括:Site ID,Transport Network-ID,Public IP,Private IP和Tunnel Encapsulation等,由控制器下发给CPE。站点通过Tunnel Type200的路由向RR通告本地TNP信息,RR将路由信息反射到其他站点,实现站点Site ID和隧道封装信息传递。
SD-WAN EVPN路由发布过程如图1-4所示其建立过程如下:
组网中不存在RR:- 在PE1和PE2之间建立SD-WAN EVPN对等体关系。
- PE1和PE2之间通过BGP协议发送路由。
- PE1和PE2收到对方发来的路由后,系统将保存其中携带的隧道封装信息。
组网中存在RR:- PE1和PE2分别和RR建立SD-WAN EVPN对等体关系。
- PE1和PE2通过BGP协议发送路由给RR,RR进行反射。
- PE1和PE2收到对方发来的路由后,系统将保存其中携带的隧道封装信息。
图1-4 通过SD-WAN EVPN部署隧道过程图
SD-WAN EVPN通道建立机制
SD-WAN EVPN通道基本概念SD-WAN EVPN在系统初始化阶段,需建立起各种必要的安全、可靠的通道。
图1-5 SD-WAN EVPN通道示意图
- 管理通道
主要是指网络控制器(AC)与区域控制器(RR)以及AC与CPE之间的管理通道,RR、CPE设备启动后,首先向AC发起注册并且建立起管理通道。
以AC和CPE设备之间的管理通道为例,AC通过管理通道向CPE下发配置,这些配置主要包括网络基础配置、VPN业务参数以及选路、QoS和安全等多种策略配置。此外,网络运维需要的信息,比如CPE的告警、日志以及网络流量等性能采集信息也通过该管理通道,由CPE上报给AC。其中,网络配置一般通过NETCONF协议实现,考虑到穿越WAN的安全性,NETCONF一般是运行于SSH安全协议之上;CPE设备的性能采集一般是通过HTTP2.0等管理协议实现。
- 控制通道
在管理通道建立之后,AC为CPE分配RR,然后CPE设备和RR之间还需要建立控制通道。所有网络转发路径相关的策略信息,由AC通过管理通道下发给CPE,比如VPN拓扑、路由和隧道信息等。控制通道采用BGP 协议实现。
- 数据通道
管理通道和控制通道建立之后,CPE设备之间需要建立数据通道,用于企业多种不同站点之间的数据传输。数据通道基于IP Overlay技术构建,为了保证数据传输时的安全性,按需进行IPSec加密。
SD-WAN EVPN管理通道建立流程SD-WAN EVPN方案主要接口和初始化流程如图1-6所示:
图1-6 主要接口和系统初始化流程
- RR上线,向AC注册。
- AC为RR分配全局唯一的管理IP(Router ID),AC通过该管理IP对RR进行标识和管理。
- AC向RR下发TNP信息(包括站点ID、角色等)和IPSec SA信息。
- AC向RR下发使能DTLS服务器和开启侦听端口的命令。
- AC向RR下发RR到CPE的静态路由,使RR与CPE之间路由可达。
- CPE上线,向AC注册。
- AC为CPE设备分配设备管理IP(Router ID),该管理IP用于CPE设备的标识和管理。
- AC根据获取的CPE设备信息(地理位置和WAN接口IP地址等),为CPE分配RR,并下发对应RR的注册地址和端口号。
- AC向CPE下发TNP信息(包括站点ID、角色等)和IPSec SA信息。
- AC向CPE下发CPE到RR的静态路由,使CPE与RR之间路由可达。
- CPE设备向RR注册。
CPE主动向RR发起DTLS连接,DTLS连接成功后,CPE将自身的TNP和IPSec SA等信息通知RR,RR将自身的TNP信息和IPSec SA信息反向通知CPE设备。之后,RR与CPE之间将完成建立GRE over IPSec隧道(控制通道)。然后在AC的管理下,RR和CPE设备之间建立邻居关系(如MP-BGP)。此时,RR可接收到所有CPE的TNP信息和IPSec SA信息,通过RR反射给所有CPE后,CPE之间将相互学习到彼此的TNP信息。
当CPE1有LAN侧路由发布后,对端CPE2会通过RR学习到CPE1的LAN侧路由,从而实现建立CPE1与CPE2之间的数据通道。
- AC将网络管理员定义的面向业务的策略编排后通过NETCONF接口通知RR。
RR基于网络管理员定义的策略,进行站点之间VPN拓扑、路由和隧道信息的分发,不同的站点之间实现安全按需的互联。
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63235
发表于 2021-7-28 14:47:20
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2021-7-28 15:04:10
